Článek
Podle průzkumu společnosti Mastercard, který se zaměřil na kybernetickou bezpečnost v českých a slovenských firmách a organizacích, patří mezi další výzvy v oboru implementace směrnice NIS2 a kybernetická bezpečnost dodavatelských řetězců.
Umělá inteligence je v posledních letech jedním z nejdiskutovanějších aktuálních témat v nejrůznějších oborech – kyberbezpečnost není výjimkou. Tři z pěti firemních IT expertů se ale domnívají, že pomáhá spíše útočníkům než „obráncům“. „Náš průzkum naznačil, že povědomí o tom, jak je možné využít potenciálu umělé inteligence v bezpečnosti firemních IT systémů, je stále poměrně nízké. Přitom právě tady se nabízejí nové možnosti, jak ochránit klíčová data firem i jejich zákazníků,“ komentuje výsledky dotazování Barbora Tyllová, produktová ředitelka společnosti Mastercard pro Českou republiku a Slovensko, a dodává: „AI napomáhá například identifikovat podvodné transakce či dokáže rozpoznat neobvyklé vzorce chování a odhalit tak vytváření podvodných účtů.“
Výsledky průzkumu na téma umělá inteligence a kyberbezpečnost
Inovativní metody jako nezbytnost
Přes 90 % respondentů v průzkumu uvedlo, že útoky jsou stále sofistikovanější. Dobrou zprávou naopak je, že význam kyberbezpečnosti si uvědomuje stále více firem, pro které se inovativní metody boje proti kyberútokům stávají nezbytností. Přesto v průzkumu společnosti Mastercard 20 % firem uvedlo, že nemají žádný formální plán* či pokyny pro případ kybernetického incidentu. Zatímco u firem, které ho měly pro takový případ vytvořený, se jich útoku neubránilo jen 14 %, u těch, které ho neměly, to bylo už 24 %. V průměru bylo úspěšných necelých 20 % kyberútoků. To je v našich podmínkách poměrně vysoké číslo, které ukazuje, že následky útoku musela řešit každá pátá společnost v Čechách nebo na Slovensku.
Do svého pravidelného hodnocení nemocnic a zdravotních pojišťoven jsme zařadili také kategorii kybernetické bezpečnosti. Pro toto hodnocení jsme využili nástroj RiskRecon od společnosti Mastercard. Pomáhá identifikovat slabá místa a chyby v IT systémech, jejich rizikovost a také napomáhá připravit plán, jak situaci řešit. Výsledky úspěšné spolupráce jsou vidět i v číslech. Celkové skóre kybernetické odolnosti sledovaných nemocnic a pojišťoven se meziročně zlepšilo ze 7,9 na 8,3 na škále od 1 do 10. Zvýšil se i počet organizací, které získaly nejvyšší známky A nebo B.
Největší nebezpečí? Lidská selhání
Podle průzkumu společnosti Mastercard byl v loňském roce nejčastějším typem kyberútoku phishing. Setkalo se s ním 8 z 10 společností. I to je zřejmě důvod, proč jsou v oblasti kybernetické bezpečnosti i nadále hlavními tématy lidská selhání a edukace zaměstnanců. Podle 72 % dotazovaných je přitom nejčastější příčinou úspěšného kyberútoku klikání na podezřelé odkazy či reakce na podezřelé zprávy. S tím úzce souvisí problematika krádeží digitální identity. Jak uvádí Barbora Tyllová: „Tento problém vnímá mnoho našich klientů jako palčivý, proto jsme na něj již reagovali vytvořením našeho nástroje Mastercard ID Theft Protection. Koncovým zákazníkům dává kontrolu nad jejich digitální identitou. Pokud totiž dojde k její možné krádeži, uživatel je na nebezpečí okamžitě upozorněn.“
Výsledky průzkumu na otázku: Zažili jste v posledním roce pokus o kybernetický útok ve vaší společnosti/organizaci?
Nová doba, nové výzvy. Hlavně nezakrnět!
Aby toho na správce firemních IT systémů nebylo málo, musejí se potýkat i s nárůstem administrativy, zejména v souvislosti s implementací směrnice NIS2. Ta se týká více než poloviny dotazovaných subjektů, přičemž tři čtvrtiny z nich jsou už na nová pravidla připraveny. Na druhou stranu ale víc jak čtvrtina dotazovaných zatím neví, jestli se jich směrnice bude týkat, nebo o ní dokonce ještě vůbec neslyšeli. Směrnice je přitom již platná a firmy mají povinnost dodržovat stanovená pravidla.
Průzkum potvrdil, že nároky na kybernetickou bezpečnost neustále narůstají. Je pochopitelné, že pro část firem jde o velmi náročnou agendu, která by vyžadovala navýšení personálních stavů i financí pro jednotlivá IT oddělení. Jako řešení se ale nabízí outsourcing a využívání nástrojů, kterými jako Mastercard na poli kybernetické bezpečnosti disponujeme.
Barbora Tyllová, ředitelka sekce digitálních produktů ve společnosti Mastercard
Mezi oblasti, kterým se zatím česká a slovenská IT oddělení věnují poměrně málo, patří kybernetická bezpečnost v dodavatelském řetězci. Až 61 % společností a organizací se o kybernetickou bezpečnost svých dodavatelů příliš nezajímá. Jedná se o podceňovanou oblast. Jen 19 % respondentů ověřuje úroveň IT bezpečnosti u všech dodavatelů a 20 % u svých klíčových dodavatelů. Zbytek se spoléhá na to, že jejich obchodní partneři mají bezpečnost dobře zajištěnou. V rámci ověřovacího procesu se firmy a organizace nejčastěji spoléhají na dotazníky (52 %), smlouvy (20 %) nebo certifikaci ISO (10 %). Pouze 15 % z nich má automatizovaný systém.
Obecně vnímáme, že frekvence kybernetických útoků a jejich nebezpečnost v poslední době výrazně stoupají. Je zapotřebí situaci nejen pravidelně a efektivně monitorovat, ale také zajistit dostatečnou ochranu sítí a dat. Rozhodli jsme se proto spojit se společností Mastercard. Její nástroj RiskRecon identifikoval slabá místa a chyby v IT systémech a jejich rizikovost. My tak mohli připravit plán, jak situaci řešit, což bylo přesně to, co jsme potřebovali.
Technologická společnost Mastercard dlouhodobě poskytuje nejbezpečnější platební transakce. S rychlým vývojem na poli finančních technologií se v posledních letech intenzivně zaměřuje i na komplexní zabezpečení všech dalších sfér podnikání. Díky desítkám akvizic a vlastnímu vývoji nástrojů pro kybernetickou ochranu je nyní Mastercard světovým lídrem v poskytování bezpečnostních řešení na míru firmám i státní správě.
Další nástroje kybernetické bezpečnosti od Mastercard
- ID Theft Protection dává koncovým uživatelům kontrolu nad jejich identitou. Ochrana proti její krádeži monitoruje nejen veřejně dostupné weby, ale i tzv. deep web a dark web. Vyhledává citlivé osobní údaje (e-maily, čísla karet, údaje o bankovních účtech atd.). Pokud dojde k možné krádeži identity, uživatel je na nebezpečí okamžitě upozorněn.
- RiskRecon umožňuje kontinuální a velmi podrobný audit kybernetické bezpečnosti kterékoli firmy. Odhaluje slabá místa v IT systémech, hodnotí rizika a dává doporučení, jaké ochranné prvky zavést, aby se zákazník co nejlépe chránil. Zdrojem pro komplexní kybernetický audit je přitom pouhá přítomnost organizace na internetu, resp. její internetové stránky. Nástroj je určený (nejen) pro všechny společnosti působící v on-line prostředí s rozvinutým subdodavatelským řetězcem a v Česku ho využívají například některé nemocnice nebo pojišťovny.
- NuDetect využívá pro ověření uživatele pasivní biometrii. Jeho inteligentní algoritmus se dokáže naučit, jak konkrétní uživatel pracuje se svým telefonem nebo počítačem, a na základě pohybů po obrazovce nebo úderů klávesnice rozpoznat, jestli se zařízením pracuje skutečně on. Díky zjištění odchylek od očekávaného chování uživatelů v reálném čase dokáže zamezit více než 99 procentům takových podvodů.
- Ekata slouží k ověřování digitální identity pomocí umělé inteligence. V reálném čase porovnává interakce jednotlivých datových atributů digitální stopy jedince, následně určí míru důvěryhodnosti například podle toho, jestli osobní údaje nefigurovaly při podvodu v minulosti. Obchodníci na internetu nebo finanční instituce díky tomu dokážou rychle odhalit falešně vytvořené účty nebo neoprávněné čerpání bonusů. Nástroj využívají také například zprostředkovatelé ubytování nebo loterijní společnosti.
- Ethoca dokáže efektivně a rychle řešit situace, kdy zákazník reklamuje transakci platební kartou. Identifikuje falešné reklamace a bankám i obchodníkům tak šetří čas i peníze za celý proces vracení peněz. Vedle toho mají uživatelé a klienti bank lepší přehled o svých transakcích díky tomu, že Ethoca přiřazuje k jednotlivým nákupům detailní informace, jako je jméno a logo obchodníka nebo lokalita nákupu.
* Formální akční plán popisuje, co dělat v případě útoků. Pro boj proti nim může být klíčový.
